이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Google Cloud 악용 사례 이벤트 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google SecOps에 원격 분석 수집을 사용 설정하여 Google Cloud 악용 사례 이벤트 로그를 수집하는 방법과 Google Cloud 악용 사례 이벤트 로그의 로그 필드가 Google SecOps 통합 데이터 모델 (UDM) 필드에 매핑되는 방식을 설명합니다. Google Cloud

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

배포에는 다음 구성요소가 포함됩니다.

Google Cloud: 로그를 수집하는 Google Cloud 서비스 및 제품입니다.
Google Cloud 악용 사례 이벤트 로그: Google SecOps에 수집을 위해 사용 설정된 Google Cloud 악용 사례 이벤트 로그입니다.
Google SecOps: Google SecOps는 Google Cloud 악용 사례 이벤트의 로그를 보관하고 분석합니다.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 GCP_ABUSE_EVENTS 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.

Google Cloud 악용 사례 이벤트 로그를 수집하도록 Google Cloud 구성

Google Cloud 악용 사례 이벤트 로그를 Google SecOps에 수집하려면 Google SecOps에 로그 수집의 단계를 따르세요. Google Cloud

일반적인 배포는 Google SecOps에 수집을 위해 사용 설정된 Google Cloud 악용 사례 이벤트 로그로 구성됩니다. 각 고객 배포는 이 표현과 다를 수 있고 더 복잡할 수 있습니다.

Google Cloud 악용 사례 이벤트 로그를 수집할 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.

지원되는 Google Cloud 악용 이벤트 로그 형식 및 샘플

Google Cloud 악용 사례 이벤트 파서는 JSON 형식의 로그를 지원합니다. 다음은 그 예시입니다.

    {
        "insertId": "dummy-insert-id",
        "jsonPayload": {
            "action": "NOTIFY",
            "@type": "type.googleapis.com/google.cloud.abuseevent.logging.v1.AbuseEvent",
            "cryptoMiningEvent": {
                "detectedMiningEndTime": "2048-03-18T07: 10: 00Z",
                "detectedMiningStartTime": "2016-07-10T05: 24: 00Z",
                "vmIp": [
                    "dummy.ip.address.1",
                    "dummy.ip.address.2",
                    "dummy.ip.address.3"
                ],
                "vmResource": [
                    "projects/dummy-project-id/zones/dummy-zone/instances/dummy-instance-id"
                ]
            },
            "detectionType": "CRYPTO_MINING",
            "reason": "The monitored resource is mining cryptocurrencies",
            "remediationLink": "https://dummy-remediation-link"
        },
        "resource": {
            "type": "abuseevent.googleapis.com/Location",
            "labels": {
                "location": "global",
                "resource_container": "projects/dummy-resource-container-id"
            }
        },
        "timestamp": "2025-07-10T17:31:53.966189618Z",
        "severity": "NOTICE",
        "labels": {
            "abuseevent.googleapis.com/vm_resource": "projects/dummy-project-id/zones/dummy-zone/instances/dummy-instance-id"
        },
        "logName": "projects/dummy-project-id/logs/abuseevent.googleapis.com%2Fabuse_events",
        "receiveTimestamp": "2025-07-10T17:31:54.754890208Z"
    }

필드 매핑 참조

필드 매핑 참조: GCP_ABUSE_EVENTS

다음 표에는 로그 필드와 해당 UDM 필드가 나와 있습니다.

Log field	UDM mapping	Logic
	`metadata.event_type`	The `metadata.event_type` UDM field is set to `SCAN_UNCATEGORIZED`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Google Cloud Platform`.
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `GCP Abuse Events`.
`insertId`	`metadata.product_log_id`
`resource.type`	`target.resource.resource_subtype`
`resource.labels.location`	`target.location.name`
`timestamp`	`metadata.event_timestamp`
	`security_result.severity`	If the `severity` log field value is equal to `CRITICAL` then, the `security_result.severity` UDM field is set to `CRITICAL`. Else, if `severity` log field value is equal to `ERROR` then, the `security_result.severity` UDM field is set to `ERROR`. Else, if `severity` log field value contain one of the following values `ALERT` `EMERGENCY` then, the `security_result.severity` UDM field is set to `HIGH`. Else, if `severity` log field value contain one of the following values `INFO` `NOTICE` then, the `security_result.severity` UDM field is set to `INFORMATIONAL`. Else, if `severity` log field value is equal to `DEBUG` then, the `security_result.severity` UDM field is set to `LOW`. Else, if `severity` log field value is equal to `WARNING` then, the `security_result.severity` UDM field is set to `MEDIUM`. Else, the `security_result.severity` UDM field is set to `UNKNOWN_SEVERITY`.
`severity`	`security_result.severity_details`
`logName`	`metadata.url_back_to_product`
`receiveTimestamp`	`metadata.collected_timestamp`
`jsonPayload.detectionType`	`security_result.category_details`
	`security_result.category`	If the `security_result.category_mapping` log field value is equal to `DETECTION_TYPE_UNSPECIFIED` then, the `security_result.category` UDM field is set to `UNKNOWN_CATEGORY`. Else, if `security_result.category_mapping` log field value is equal to `CRYPTO_MINING` then, the `security_result.category` UDM field is set to `EXPLOIT`. Else, if `security_result.category_mapping` log field value is equal to `LEAKED_CREDENTIALS` then, the `security_result.category` UDM field is set to `PHISHING`. Else, if `security_result.category_mapping` log field value is equal to `PHISHING` then, the `security_result.category` UDM field is set to `PHISHING`. Else, if `security_result.category_mapping` log field value is equal to `MALWARE` then, the `security_result.category` UDM field is set to `SOFTWARE_MALICIOUS`. Else, if `security_result.category_mapping` log field value is equal to `NO_ABUSE` then, the `security_result.category` UDM field is set to `POLICY_VIOLATION`.
`jsonPayload.reason`	`security_result.description`
	`security_result.action`	If the `jsonPayload.action` log field value is equal to `ACTION_TYPE_UNSPECIFIED` then, the `security_result.action` UDM field is set to `UNKNOWN_ACTION`. Else, if the `jsonPayload.action` log field value is equal to `NOTIFY` then, the `security_result.action` UDM field is set to `ALLOW`. Else, if the `jsonPayload.action` log field value is equal to `PROJECT_SUSPENSION` then, the `security_result.action` UDM field is set to `BLOCK`. Else, if the `jsonPayload.action` log field value is equal to `REINSTATE` then, the `security_result.action` UDM field is set to `ALLOW`. Else, if the `jsonPayload.action` log field value is equal to `WARN` then, the `security_result.action` UDM field is set to `ALLOW`. Else, if the `jsonPayload.action` log field value is equal to `RESOURCE_SUSPENSION` then, the `security_result.action` UDM field is set to `BLOCK`.
`labels.abuseevent.googleapis.com/vm_resource`	`principal.resource.name`
	`principal.resource.resource_type`	If the `event_type.crypto_mining_event.vm_resource` log field value is not empty then, the `target.resource.resource_type` UDM field is set to `VIRTUAL_MACHINE`.
`jsonPayload.cryptoMiningEvent.detectedMiningStartTime`	`security_result.detection_fields[detected_mining_start_time]`
`jsonPayload.cryptoMiningEvent.detectedMiningEndTime`	`security_result.detection_fields[detected_mining_end_time]`
`jsonPayload.cryptoMiningEvent.vmIp`	`principal.ip`
`jsonPayload.leaked_credential_event.credential_type.service_account_credential.service_account.service_account`	`principal.user.userid`
`jsonPayload.leaked_credential_event.credential_type.service_account_credential.service_account.key_id`	`principal.user.attribute.labels[service_account_key_id]`
`jsonPayload.leakedCredentialEvent.apiKeyCredential.apiKey`	`principal.user.attribute.labels[api_key_credential_api_key]`
`jsonPayload.leakedCredentialEvent.detectedUri`	`security_result.about.url`
`jsonPayload.harmfulContentEvent.uri`	`security_result.detection_fields[harmful_content_event_uri]`
`jsonPayload.remediationLink`	`security_result.detection_fields[remediation_link]`
`jsonPayload.@type`	`security_result.detection_fields[jsonPayload_type]`
`resource.labels.resource_container`	`principal.resource.attribute.labels[resource_container]`

다음 단계

Google SecOps에 데이터 수집

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.